Livehacking ego Saar 2008

Größe: px

Ab Seite anzeigen:

Download "Livehacking ego Saar 2008"

Horst Lorenz
vor 8 Jahren
Abrufe

1 Livehacking ego Saar Mark Semmler Security Services l Tel: l kontakt_mse@mark-semmler.de Mark Semmler Security Services l Tel: l kontakt_mse@mark-semmler.de

428568 l E-mail: kontakt_mse@mark-semmler.

2 - Aus der Abteilung Eigenlob - Wer steckt hinter der Mark Semmler Security Services? 2

3 Die Mark Semmler Security Services Team aus sieben Experten der IT-Security: Gegründet 2002 Office in Darmstadt (bei Frankfurt) In ganz Europa im Einsatz 3

4 Hans-J. Kurent Kreativer Umgang mit der IT seit 1984 Vom Volkscomputer zum Unix-Rechner Studium der Informatik Einsatz rund um Linux Im Team der Mark Semmler Security Services seit Spezialgebiet: Security-Scans (Pen-Tests) 4

5 Unser Portfolio Security-Scans + Applikations-Tests Angreifen von IT-Infrastrukturen, Überprüfen webbasierter Anwendungen Audits (Kompakt-Audits, Vorbereitung von ISO & Co.) Überprüfen der organisatorischen Sicherheit IT-Forensic Gerichtsfeste Beweissicherung bei IT-Sicherheitsvorfällen Erarbeiten von Sicherheitskonzepten Strukturierte Absicherung der IT bedarfsgerechter Schutz für Daten Schulungen für Systemhäuser und Endkunden Know-How aus erster Hand.

) Überprüfen der organisatorischen Sicherheit IT-Forensic Gerichtsfeste Beweissicherung bei IT-Sicherheitsvorfällen

6 - Aus der Abteilung Guten Morgen! - Willkommen in der Realität

7 7

8 Warum ist das so? Die gegenwärtige Situation Das Internet war ursprünglich ein reines Forschungsnetz. Als das Fundament des Internets gelegt wurde, vertrauten sich die beteiligten Freaks untereinander. Folge: Auf den Faktor Sicherheit wurde kein Wert gelegt. Dann wurde das Internet vom eigenen Erfolg überrascht heute tummeln sich x Millionen Menschen im Internet. Deshalb verwenden wir heute Verfahren, die hochgradig unsicher sind. Gleiches gilt für die allermeisten Verfahren und Produkte in der IT der Faktor Sicherheit rückt erst seit wenigen Jahren langsam in den Focus der Hard- und Software-Designer.

Folge: Auf den Faktor Sicherheit wurde kein Wert gelegt.

9 Beispiel: Mails werden mit dem Protokoll SMTP versandt. SMTP = Simple Mail Transfer Protocol SMTP bedeutet: Klartext-Übertragung, keine Benutzer-Authentifizierung SMTP bedeutet heute Stupid Mail Transfer Protocol Wir übertragen heute Daten per Mail, die wir vielleicht noch nicht einmal als Brief (=verschlossener Umschlag!) versenden würden von dem Versand via Postkarte ganz zu schweigen. Versand von 20 Millionen Werb s kostet ca. 350 Euro

bedeutet heute Stupid Mail Transfer Protocol Wir übertragen heute Daten per Mail, die wir vielleicht noch nicht

10 Ganz nah an der Praxis Wir verschicken eine Mail ohne einen Mail-Client Programm telnet als Mail-Client Ersatz. Ganz, ganz, ganz altes Programm. Wurde früher zu Administration benutzt.

11 Frage: Warum sind die Daten im Intranet sicher? In jedem Firmennetz werden genau die gleichen (unsicheren, veralteten, überholten, zensiert,...) Verfahren eingesetzt wie im Internet. Ein besteht nur ein einziger Unterschied zum Internet: Die Benutzer im internen Netz sind bekannt und es wird ihnen (zumindest ein Stück weit) vertraut. Deshalb werden umfangreiche Anstrengungen unternommen, um unberechtigten Personen den Zugriff zum Netz zu verwehren: Leitungen sind in Kabelkanälen verlegt, Besucher werden am Empfang registriert, Übergangspunkte zu anderen Netzen werden besonders geschützt,...

Ein besteht nur ein einziger Unterschied zum Internet: Die Benutzer im internen Netz sind bekannt und es wird ihnen (zumindest ein Stück weit)

12 An was erinnert also ein Intranet heute?

13 Willkommen im Mittelalter!

14 Dieses Prinzip ist heute leider obsolet...

15 USB-Sticks: die neue Pest im Firmennetz

16 Einfallstor: USB-Stick Von (Heiseticker) am : Steve Stasiukonis von Secure Network Technologies berichtet über einen interessanten Einbruchstest bei einer Kreditgenossenschaft, bei dem er über speziell präparierte USB-Sticks mehr interessante Daten in seinen Besitz bringen konnte, als er zu hoffen wagte. (...) Dabei präparierten Stasiukonis und seine Mitarbeiter USB-Sticks unter anderem mit einem Keylogger, der Passwörter ausspionierte und dann per verschickte. Von diesen modernen Trojanischen Pferden "verlor" Stasiukonis zwanzig auf dem Firmengelände. Die Angestellten konnten der Versuchung natürlich nicht widerstehen: Fünfzehn wurden gefunden und vom glücklichen Finder auch prompt in Firmenrechner gesteckt. (...)

mehr interessante Daten in seinen Besitz bringen konnte, als er zu hoffen wagte. (.

17 Einfallstor: WLAN

18 Im fahrenden Zug ist man sicher?

19 Einfallstor: WLAN (Infoscreen Hamburg)

20 Einfallstor: WLAN (DB Lounge)

21 Einfallstor: Bluetooth (Man nehme...) Quelle: 21

22 Einfallstor: Bluetooth (Man nehme...) Quelle: 22

23 Einfallstor: Bluetooth (Man nehme...) Quelle: 23

24 The Carwhisperer ( 24

25 - Aus der Abteilung VOR-Sorge - An was muss ich vorher denken?

26 Eine Firewall angreifen? Wozu? Das Gute liegt so nah!

27 Was brauchen Sie? Geschäftsdaten?

28 Personenbezogene Daten? Alles im Angebot!

29 - Aus der Abteilung Technikgläubigkeit! - Was wird heute unter IT-Sicherheit verstanden?

30 Hardwar Hardwar e e Hardwar Hardwar e e Hardwar Hardwar e e

31 Die Faktenlage... Die meisten Unternehmen besitzen Sicherheitseinrichtungen: DSL-Router, Firewall, Anti-Virus,... Aber in der Mehrzahl der Fälle treffen folgende Punkte zu: Die Sicherheitseinrichtungen sind falsch konzeptioniert......nachlässig installiert......nicht dokumentiert......werden nicht sauber betreut......und/oder sind nicht in die Unternehmensabläufe eingebettet. Was ist die Folge?...lassen Sie uns doch mal nachsehen!

32 - Aus der Abteilung Aaaaaaaaaaaaaaaaarrrgh! - Woher kommen diese Löcher?

33 Oft sind DSL-Router und Firewalls völlig nutzlos... internes Netz

34 ...z.b. weil sie abgrundtief falsch konfiguriert sind Oftmals bricht das Feature Fernwartung oder das Feature DMZ-Host der Firewall das Genick... Hier ein Beispiel (DSL-Router der Firma Belkin):

35 Regelmäßig anzutreffen: Pseudo-Sicherheit 35

36 Vielen Dank für Ihre Aufmerksamkeit. Bei Fragen stehen ich gerne zur Verfügung.

Ähnliche Dokumente

Willkommen zum Livehacking

Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur